勒索软件攻击仍持续取得“胜利” 2021年平均赎金要求增长45%-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

金融机构数据安全能力体系建设与落地实践

2026-02-27

开工大吉｜策马扬鞭，跃启新程！

2026-02-25

浙江省委宣传部副部长、省委网信办主任赵磊：守正创新辩证施策全力推动网络生态治理工作迈上新台阶

2026-02-10

美创产品全面入围中直机关2025年网络设备框架协议采购项目

2026-02-04

连续5年！美创再获中国网络安全产业联盟“先进会员单位”表彰

2026-01-21

庄荣文：锚定网络强国战略目标推进“十五五”网信事业实现良好开局

2026-02-25

巨头涌入医疗可信数据空间，一个新百亿级产业即将兴起！

2026-02-10

浙江省委宣传部副部长、省委网信办主任赵磊：守正创新辩证施策全力推动网络生态治理工作迈上新台阶

2026-02-10

关注！数据安全新动态（2025年10月·上篇）

2025-11-17

关注 | 国家标准支撑《网络数据安全管理条例》生效施行（v1.0）

2025-11-12

勒索软件攻击仍持续取得“胜利” 2021年平均赎金要求增长45%

发布时间：2022-05-24 阅读次数： 604 次

Group-IB发布了“RansomwareUncovered 2021/2022”，这份报告的调查结果表明，勒索软件组织们发起的攻击仍屡屡得手，2021年的平均赎金需求增长了45%，达到24.7万美元。自2020年以来，勒索软件攻击组织变得更加贪婪，其中Hive向MediaMarkt索要的赎金金额达到了创纪录的2.4亿美元（2020年的纪录为3000万美元）。

这份新报告评估了Group-IB数字取证和事件响应(DFIR)团队在所有地理位置观察到的勒索软件攻击者的新战术、技术和程序(TTP，Tactics、Techniques and Procedures)。

在过去的三年中，人为勒索软件攻击在全球网络威胁领域内仍保持稳固的领先地位，初始访问代理（IAB，Initial access brokers）的兴起和勒索软件即服务（RaaS）的扩张已经成为勒索软件业务持续增长的两个主要驱动力，其中RaaS可以令技术水平偏低的攻击者都可以成为发起勒索攻击的一份子，在某种程度上看，这也是受害者数量大幅增长的原因之一。

根据对2021年700多起攻击事件的分析，专家估计2021年的赎金要求平均为24.7万美元，比2020年高出45%。从受害者的宕机时间(从2020年的18天增加到2021年的22天)可以明显看出，勒索软件的演化也越来越复杂。

该报告阐述道，RaaS计划除了提供勒索软件之外，还提供用于窃取数据的定制工具，因此，双重勒索变得更加普遍——仅就调查数据显示，有高达63%的案例显示受害者的敏感数据被窃取，并成为攻击者进一步索取高额赎金的筹码。在2021年一季度和2022年一季度之间，勒索软件团伙在数据泄露网站（DLS）上发布了超过3500名受害者的数据。

2021年勒索软件组织在DLS上发布的数据中，大多数是位于美国(1,655家)、加拿大(176家)和英国(168家)的企业，而大多数受影响的组织普遍为制造业(322家)、房地产业(305家)和专业服务业(256家)。

Lockbit、Conti和Pysa是最具攻击性的组织，他们分别将670、640和186名受害者的数据上传到DLS上。Hive和Grief (前身为DoppelPaymer)迅速跻身前十大勒索软件攻击组织，这一点在DLS上发布的受害者数量中占了很大比例。

在2021年，利用面向公众的RDP服务器再次成为在目标网络中获得初步立足点的最常见方式——所有攻击中，47%始于外部远程服务，携带恶意软件的鱼叉式钓鱼电子邮件位居第二(26%)。

在初始阶段部署的商用恶意软件在勒索软件攻击者群体中越来越受欢迎，然而在2021年，勒索软件攻击的归因变得越来越复杂，因为许多Bot，如Emotet, Qakbot和IcedID被各种攻击者使用，这一点不同于2020年，某些恶意软件家族与特定的勒索软件团伙有很强的联系。例如，IcedID被用于获得各种勒索软件附属组织的初始访问权，包括Egregor、 REvil、 Conti、 XingLocker、RansomExx。

一般来说，许多勒索软件分支组织在攻击生命周期中依赖于现有的技术和合法工具。然而，有人发现一些勒索软件组织试图采取非常规的方法：Revil附属组织利用0day漏洞攻击Kaseya的客户；Ryuk在攻击行动中使用的BazarLoader是通过Vish(语音网络钓鱼)分发的——在钓鱼电子邮件包含有关“付费订阅”的信息，据称这些信息可以通过电话取消。在通话中，攻击者将受害者引诱到一个虚假网站，并诱导其下载并打开一个可以下载并运行BazarLoader的文件以实现后续的攻击行为。